Vor kurzem habe ich einen Beitrag über das SRF und den dortigen Datenschutz geschrieben.
Im Zuge dieses Beitrags habe ich 13 Fragen an das SRF formuliert, gegen Ende letzter Woche kamen dazu die Antworten.
Nachfolgend die Fragen und die Antworten vom SRF. Danach werde ich noch meine Gedanken zu den Antworten äussern.
1. Manipulativer Cookie-Banner: Warum wurde der Cookie-Banner so gestaltet, dass er Nutzer in eine bestimmte Richtung lenkt, anstatt ihnen eine klare und einfache Wahl zwischen Zustimmung und Ablehnung zu bieten? Glauben Sie nicht, dass ein transparenterer Ansatz das Vertrauen der Nutzer stärken würde?
Vorab möchten wir festhalten, dass ein Cookie-Banner für Zugriffe aus der Schweiz nach wie vor keine Pflicht ist. Es genügt eine entsprechende Information und die Möglichkeit eines «Opt-out» (Art. 45c FMG). Doch in einem Cookie Banner können alle Datenbearbeitungen im Zusammenhang mit der Nutzung unseres Online-Angebots auf einen Blick ersichtlich gemacht und individuell verwaltet werden. Deshalb haben wir uns für einen Cookie Banner entschieden. Im Cookie-Banner informieren wir transparent über den Einsatz von Cookies und ähnlichen Technologien und bieten unter «Individuell verwalten» die Möglichkeit, «nur Notwendige» zu akzeptieren. Zudem können Sie unter «Datenschutz-Einstellungen» (im Footer der Webseiten) Ihre Einstellungen jederzeit selbst verwalten.
2. KI-Systeme: Welche KI-Systeme setzen Sie genau ein? Handelt es sich dabei um Eigenentwicklungen oder nutzen Sie Drittanbietersysteme? Wenn ja, welche?
Wir setzen seit mehreren Jahren KI-unterstützte Applikationen im Bereich von Speech-to-Text ein, also bei der Transkription von gesprochenem Wort. Das sind in der Regel marktübliche Softwareprodukte. Das von SRF eingesetzte Speech-to-Text-Tool für Schweizerdeutsche Mundarten wurde von einem Schweizer Anbieter in Zusammenarbeit mit SRF entwickelt. Desweiteren werden in der Recherche die bekannten Suchmaschinen eingesetzt, die im Hintergrund ebenfalls KI-Anteile aufweisen. Eigenentwicklungen sind dagegen ein sog. «Jass-Kartenzähler», der bei TV-Sendungen die Redaktion unterstützt, sowie ein Tool, das bei Mannschaftssportarten den Score von der Anzeigetafel «ablesen» kann. Spezialisierte, selbst entwickelte KI-Anwendungen finden sich auch im Archivumfeld, wo die Mustererkennung bei gewissen UseCases etwa im Audiobereich eine grosse Rolle spielt. Seit geraumer Zeit gibt es interne Versuche mit Produkten auch aus dem Bereich der generativeAI. Sobald der Einsatz von KI über das reine Versuchsstadium hinausgeht und das publizistische Angebote massgeblich betrifft, informiert SRF jeweils die Öffentlichkeit, vgl. https://www.persoenlich.com/gesellschaft/srf-arbeitet-mit-ki-an-einer-serie.
3. Verantwortung für KI-Entscheidungen: Wer übernimmt die Verantwortung, wenn die von Ihnen eingesetzte KI fälschlicherweise Entscheidungen trifft oder Daten missbraucht? Wie können Nutzer solche Entscheidungen anfechten?
Wir setzen KI nicht ohne menschliche Kontrolle ein und überlassen KI-gestützten Systemen auch keine Entscheide betreffend Menschen.
4. Datentransparenz: Können Sie konkretisieren, welche personenbezogenen Daten an Länder wie die USA, Australien und Indien übermittelt werden? Welche Firmen oder Institutionen in diesen Ländern haben Zugriff darauf?
SRF kann auch Auftragsbearbeiter in Drittländern einsetzen. Vorgängig wird jeweils eine Risikoeinschätzung der beabsichtigten Bekanntgabe vorgenommen und die vom EDÖB anerkannten Standardvertragsklauseln der EU-Kommission mit den entsprechenden Anpassungen auf das Schweizer Recht werden abgeschlossen. Über die konkreten Personendaten, welche speziell diesen Auftragsbearbeitern bekanntgegeben werden, können wir keine Auskunft geben. Welche Personendaten wir bearbeiten, ergibt sich aus unserer Datenschutzerklärung.
5. Datenzugriff: Wer innerhalb des SRF und bei Ihren Partnern hat Zugriff auf die gesammelten Daten?
Zugriff haben jeweils diejenigen SRF-Mitarbeitenden und Auftragsbearbeiter von SRF, welche die entsprechenden Daten bearbeiten. Beispielweise haben Mitarbeitende der Abteilung Audience Zugriff auf die von der SRF-UDP (Plattform zur Analyse des Nutzungsverhaltens von Webseiten und Apps) erhobenen Daten.
6. Zweck der App-Datensammlung: Für welchen konkreten Zweck benötigen Sie detaillierte technische Informationen wie IMEI, IMSI und MAC-Adresse von Nutzern Ihrer Apps?
Diese Informationen werden von SRF nicht erhoben, können aber vom Betriebssystem erhoben werden. Daher informieren wir in der Datenschutzerklärung über diese Datenbearbeitung. Aufgrund Ihrer Anfrage haben wir diese Information intern besprochen und sind zum Schluss gekommen, dass die Passage missverstanden werden kann. Wir werden unsere Datenschutzerklärung daher entsprechend anpassen.
7. Notwendigkeit von Daten: Wie tragen diese spezifischen Daten (IMEI, IMSI, MAC-Adresse usw.) zur Funktionalität oder Verbesserung der App bei? Sind sie für den Betrieb der App unerlässlich?
Vgl. Antwort 6.
8. Standortdaten: Werden durch das Sammeln von IMSI und IMEI auch Standortdaten erfasst? Wenn ja, wie werden diese genutzt?
Wie erwähnt, werden IMEI und IMSI von SRF nicht erhoben. Welche Services bei der Nutzung unseres Online-Angebots Standortdaten erheben und zu welchen Zwecken sie diese bearbeiten, ist im Cookie-Banner aufgeführt. Beispielsweise wird die Geolocation von Usercentrics erhoben, damit den Nutzerinnen und Nutzern der richtige Cookie-Banner angezeigt wird (bei Zugriffen aus der Schweiz wird ein anderer Cookie-Banner angezeigt als bei Zugriffen von ausserhalb der Schweiz).
9. Transparenz und Aufklärung: Wie informieren Sie Ihre App-Nutzer über die Art der gesammelten Daten und deren Nutzung? Gibt es eine einfache Möglichkeit für Nutzer, eine vollständige Liste der von der App erfassten Daten anzufordern?
Im Cookie Banner wird für jeden Service aufgeführt, welche Daten von diesem Service zu welchem Zweck bearbeitet werden.
10. Verwendung von Drittanbieter-SDKs: Nutzen Ihre Apps Software Development Kits (SDKs) von Drittanbietern, die möglicherweise auch Zugriff auf diese technischen Daten haben könnten?
Ja, über die Drittanbieter und deren Datenbearbeitung wird im Cookie-Banner informiert.
11. Opt-Out Möglichkeit: Gibt es eine Möglichkeit für Nutzer, bestimmte Datenerfassungen oder -übertragungen abzulehnen oder sich dagegen zu entscheiden, ohne die Dienste des SRF vollständig meiden zu müssen?
Über den Cookie-Banner oder die «Datenschutz-Einstellungen» können nicht notwendige Cookies und ähnliche Technologien abgelehnt werden. Zudem können Cookies in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden.
12. Datenminimierung: In Anbetracht der Datensparsamkeit, einem Grundprinzip des Datenschutzes: Warum sammeln Sie mehr Daten als offensichtlich für die Funktion Ihrer Dienste erforderlich? Haben Sie Massnahmen zur Datenminimierung in Erwägung gezogen?
Wir bearbeiten grundsätzlich nur so viele Personendaten, wie wir benötigen, um unserem aus dem RTVG und der Konzession folgenden Auftrag nachzukommen. Nicht mehr benötigte Personendaten werden gelöscht oder anonymisiert.
13. Klarheit über Dritte: Können Sie eine Liste der Drittanbieter bereitstellen, mit denen Sie zusammenarbeiten, insbesondere jener, die Zugriff auf die Nutzerdaten haben?
Im Cookie-Banner werden die Drittanbieter aufgeführt, welche Nutzerdaten von Webseitenbesuchern oder App-Usern bearbeiten.
Meine Gedanken zu den Antworten
Grundsätzlich möchte ich mich an dieser Stelle beim Datenschutz Team des SRFs bedanken, da sie meine Fragen alle anstandslos (ohne erneutes nachfassen) beantwortet haben.
Das hört sich auf den ersten Blick selbstverständlich an, kann hier aber aus eigener Erfahrung berichten, dass das nicht selbstverständlich ist und ich z.b. bei einer kantonalen Webseite – trotz mehrmaliger E-Mails erst eine Antwort bekam als den dortigen kantonalen Datenschutzbeauftragten involviert habe.
Ich möchte als erstes auf die Antwort auf die erste Frage eingehen. Der Cookie Banner. Das SRF hat absolut Recht damit, dass das Schweizer Datenschutzgesetz keine Cookie-Banner vorschreibt. Das ist auch der Grund, warum es auf diesem Blog keinen solchen Banner gibt.
Leider gingen Sie aber nicht auf den Vorwurf des «Dark Pattern» ein. Nur weil gesetzlich kein Cookie-Banner vorgeschrieben ist, gibt es keinen technischen Grund warum es dort keinen «Alles ablehnen» oder «Nur technisch notwendige Cookies zulassen» Button gibt.
Jemand der alles ablehnen möchte, muss in die Details gehen und und kann erst dort Cookies ablehnen. Das verstösst gegen kein Gesetz, aber es ist Nutzerfeindlich und animiert Nutzer dazu das sie eher alles akzeptieren. Und ich finde nach wie vor, dass dieses Vorgehen für ein öffentlich finanziertes Medienunternehmen keine schöne Lösung ist.
Dennoch zeigt das SRF durch seine Antworten ein starkes Engagement für Transparenz und Benutzerorientierung. Trotz der Tatsache, dass die schweizerischen Bestimmungen kein Cookie-Banner verlangen, hat sich das SRF dennoch für dessen Einsatz entschieden. Dieses Vorgehen dient dazu, die Nutzer vollständig zu informieren und ihnen gleichzeitig Kontrollmöglichkeiten über ihre Daten zu bieten.
Beim Thema Künstliche Intelligenz (KI) wird deutlich, dass das SRF nicht nur auf marktübliche KI-Produkte setzt, sondern auch auf Eigenentwicklungen. Dabei kooperiert es teilweise mit schweizerischen Partnern. Besonders hervorzuheben ist die Zusage des SRF, die Öffentlichkeit bei einem über das Teststadium hinausgehenden KI-Einsatz zu informieren.
Spannend wäre hier noch, wenn diese KI-Eigenentwicklungen als freie Software zur Verfügung stehen würde.
In Bezug auf die Verantwortung bei KI-Entscheidungen betont das SRF klar, dass KI-Systeme nicht ohne menschliche Kontrolle eingesetzt werden. Das Unternehmen scheint sich der potenziellen Risiken bewusst zu sein und sorgt dafür, dass menschliche Intervention jederzeit möglich ist.
Ein weiterer wichtiger Punkt ist die Frage nach den Datenübertragungen in Drittländer. Das SRF gibt an, Risikoeinschätzungen durchzuführen und Standardvertragsklauseln gemäss EU-Kommission anzupassen, bevor Daten an Drittland-Auftragsverarbeiter weitergegeben werden. Dennoch könnten die Antworten könnten jedoch detaillierter sein, insbesondere im Hinblick auf den genauen Datenfluss zu Drittanbietern
Hinsichtlich der App-Datensammlung und spezifischen technischen Daten betont das SRF, dass es bestimmte Informationen wie IMEI und IMSI nicht erhebt, diese jedoch vom Betriebssystem gesammelt werden könnten. Es ist bemerkenswert, dass sie Änderungen an ihrer Datenschutzerklärung in Erwägung ziehen, basierend auf dem Feedback, was auf eine proaktive Haltung gegenüber Datenschutzbedenken hindeutet.
Abschliessend wird deutlich, dass das SRF den Datenschutzgrundsatz der Datensparsamkeit verfolgt und sich darauf konzentriert, nur die wirklich notwendigen Daten zu erheben, um seinen gesetzlichen und konzessionierten Aufgaben nachzukommen.
Zusammenfassend zeigt sich das SRF als ein Unternehmen, das den Datenschutz ernst nimmt, sich der Verantwortung im Umgang mit KI bewusst ist und bemüht ist, insgesamt wäre es schön wenn gewisse Punkte wie die das Dark Pattern beim Cookie Banner oder den Datenfluss an die Drittanbieter in Zukunft noch verbessert werden würde.
Schreibe einen Kommentar